huppsi
Goto Top

dlink DI-804vh netgear FVS114 VPN

Hallo zusammen,

ich versuch jetzt schon ne ganze Weile folgende Konstellation zum laufen zu kriegen und komm nicht über IKE Phase1 weg.

1. Netzwerk:

192.168.1.0
PDC
Netgear FVS114

2. Netzwerk:

192.168.2.0
Speedport W500V dahinter DLINK DI-804VH als DHCP CLient am W500

Ich hab mir von beiden Routern die Anleitungen für einen VPN Tunnel durchgelesen und ich meine auch an beiden Routern dieselben Werte eingestellt zu haben, aber beide unterhalten sich kurz und brechen dann die Verbindung ab. Ist diese Zusammenstellung überhaupt fähig eine VPN Verindung aufzubauen? Muss ich den Speedport rausschmeißen? Doch lieber 2 identische Router nehmen? In einem anderen Artikel hier hab ich gelesen ping 2048 für Anmeldung am DC. Hat jemand Erfahrung von euch mit diesen beiden Routern Netgear und DLINK? klappt das mit der Anmeldung am DC.


Tipps, Hinweise, was auch immer mich weiter bringt, ich danke euch.

Peter

Content-ID: 81513

Url: https://administrator.de/contentid/81513

Ausgedruckt am: 14.11.2024 um 09:11 Uhr

aqui
aqui 24.02.2008, aktualisiert am 18.10.2012 um 18:35:25 Uhr
Goto Top
2 wichtige Fragen um dir zu helfen hast du leider versaeumt zu beantworten:

1.) WELCHES VPN Protooll benutzen deine beiden Router ?

2.) Ist der Speedport als dummes DSL Modem geschaltet oder als Router ???

Fangen wir mal mit Punkt 2. an: Normalerweise in einem solchen Szenario MUSS der Speedport als dummes DSL Mopdem konfiguriert sein. D.h. das Feature "PPPoE Passthrough" muss aktiviert sein. Dann macht der D-Link den Verbindungsaufbau aktiv (PPPoE Zugangsdaten sind hier konfiguriert !)
Damit sollte es eigentlich sauber funktionieren, sofern beide Router sich an einen gemeinsamen Standard eines VPN Protokolls halten z.B. IPsec oder PPTP.
Da du von IKE sprichst, kann es eigentlich nur IPsec sein, was dann auch Frage 1 beantwortet.

Sind im Szenario D-Link und Speedport der Speedport ebenfalls als Router geschaltet, damm musst du zwingend darauf achten, das der Speedport ein Port Forwarding macht fuer das IPsec Protokoll.
Hier musst du ebenfalls zwingend darauf achten das du dann bei IPsec den ESP Modus benutzt und NICHT den AH Modus, der ueber einen NAT Router nicht uebertragbar ist.
Auf dem Speedport muss dan der Port UDP 500, UDP 4500 und das ESP Protokoll auf die IP Adresse des D-Link geforwardet werden, damit dieses Szenario funktioniert. Es klappt auch nur wenn der SP das feature VPN Passthrough supportet, sonst ist diese Konstellation zum Scheitern verurteilt !!!

Hilfreiche Tutorials fuer dich zu diesem Thema sind:

IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und
Kopplung von 2 Routern am DSL Port
huppsi
huppsi 25.02.2008 um 13:50:54 Uhr
Goto Top
Moin Aqui,

beide nutzen IPSEC. Der DLINK sitzt jetzt direkt hinter einem dsl modem.
IKE Einstellung:
Encryption 3DES
Authentication MD5
DHI Group 2
Life time 3600


Auszug Logfile:
Thursday April 10, 2008 17:01:44 Receive IKE INFO : 79.198.125.142 --> 79.198.99.158
Thursday April 10, 2008 17:01:54 IKED re-TX : INIT to 79.198.125.142
Thursday April 10, 2008 17:01:54 Receive IKE INFO : 79.198.125.142 --> 79.198.99.158
Thursday April 10, 2008 17:02:04 IKED re-TX : INIT to 79.198.125.142
Thursday April 10, 2008 17:02:04 Receive IKE INFO : 79.198.125.142 --> 79.198.99.158
Thursday April 10, 2008 17:02:24 IKED re-TX : INIT to 79.198.125.142
Thursday April 10, 2008 17:02:24 Receive IKE INFO : 79.198.125.142 --> 79.198.99.158
Thursday April 10, 2008 17:02:25 Send IKE (INFO) : delete 79.198.99.158 -> 79.198.125.142 phase 1
Thursday April 10, 2008 17:02:25 IKE phase1 (ISAKMP SA) remove : 79.198.99.158 <-> 79.198.125.142
aqui
aqui 26.02.2008 um 00:32:41 Uhr
Goto Top
Was sagt das Log vom FVS ??? So wie die kryptischen und spärlichen Logauszüge zu deuten sind kommen die Sessions nicht zustande, da sich die Router nicht sehen.

Frage welcher Router initiiert denn die VPN Session also wer hat den Client Part und wer ist Server ??
Beim Server musst du ja incoming IKE also UDP 500 Sessions sehen können !